Androidランサムウェアが出現、身代金としてiTunesギフトカードを要求

Dogspectus Androidランサムウェアがスマートフォンに静かにインストールされ、$200のiTunesギフトカードを身代金として要求

Blue Coatのセキュリティ研究者は、ユーザーの操作を必要とせずにデバイスをランサムウェアで感染させるAndroidランサムウェア「Dogspectus」を広める新しいモバイルマルウェア配布キャンペーンを発見しました。

Blue Coat Labsの専門家は、CyanogenMod 10 / Android 4.2.2を実行しているタブレットが、ユーザーの操作なしに悪意のあるペイロードを静かに提供する広告を表示した後にこの脅威を最初に発見しました。

感染は、ユーザーが汚染されたJavaScriptコードを含むウェブサイトを訪れると発生します。Blue Coat Labsによると、悪意のあるコードは悪意のある広告（マルバタイジング）を介して配信されます。この悪意のあるコードは、モバイル広告をハイジャックしてギフトカードを詐取し、被害者だけが支払いを行える状態でデバイスをロックします。

Zimperiumのセキュリティ研究者は、悪意のあるコードが昨年のHacking Teamのデータ侵害で漏洩したエクスプロイトを含んでいることを確認しました。

この攻撃は非常に高度であり、以下にAndrew Brandtが説明するように、古典的なマルバタイジング攻撃の進化を示しています。

「私の知る限り、エクスプロイトキットが被害者のユーザー操作なしにモバイルデバイスに悪意のあるアプリを成功裏にインストールできたのは初めてです。攻撃中、デバイスは通常のAndroidアプリケーションのインストール前に表示される「アプリケーションの権限」ダイアログボックスを表示しませんでした。」とBrandtは書いています。

Zimperiumの研究者の助けを借りたさらなる分析により、エクスプロイトが攻撃者がデバイス上にmodule.soというLinux ELFバイナリをダウンロードできるlibxslt Androidライブラリの脆弱性を利用していることが明らかになりました。

このバイナリは、デバイス上でroot権限を取得するためにTowelrootとして知られるAndroidエクスプロイトを使用します。このツールは、人気のハッカーGeorge Hotzによって2014年にリリースされ、既知のLinuxの欠陥（CVE-2014-3153）を利用してAndroidデバイスをroot化することができます。

rootアクセスが確認されると、module.soはランサムウェアコードを含む追加のAndroid APK（Androidアプリケーションパッケージ）もダウンロードします。攻撃者は、ユーザーに許可を求めることなく、手に入れたrootアクセスを使って静かにランサムウェアをインストールできます。

このランサムウェアトロイの木馬の名前はDogspectusまたはCyber.Policeで、2014年12月に最初に検出されました。ファイルを暗号化するデスクトップベースのランサムウェアと比較して、このアプリケーションはユーザーファイルを暗号化しません。代わりに、違法行為がデバイスで検出されたと主張する法執行機関からの偽の警告を表示し、所有者が罰金を支払う必要があるとしています。

Blue Coat Labsによると、感染した被害者はデバイスから中央のコマンド＆コントロールサーバーに暗号化されていないトラフィックを送信します。同社は、Androidバージョン4.0.3から4.4.4の間の224種類の異なるAndroidデバイスモデル（タブレット、スマートフォン）からのトラフィックを追跡することができました。

公式にサポートされているAndroidの最も低いバージョンは4.4.4であり、これは攻撃者がデバイスのアップグレードに失敗したか、アップグレードできないユーザーをターゲットにしていることを意味します。

「これらのデバイスのいくつかがHacking Teamのlibxlstエクスプロイトに特に脆弱でないことが知られている事実は、他のモバイルデバイスに感染させるために異なるエクスプロイトが使用された可能性があることを示しています。」とBrandtは指摘しています。

「ランサムウェアは被害者のデータを（または実際に）暗号化すると脅迫することはありません。むしろ、デバイスは、犯罪者に対して2つの$100のApple iTunesギフトカードコードの形で支払いを行う以外の用途には使用できないロック状態に保持されます。」とBrandtは研究ノートに書いています。

身代金を支払って電話のロックを解除することを選択した被害者は、iTunesギフトカードコードを提出することによって「財務口座」に$100から$200の「罰金」を支払うよう指示されます。

しかし、Brandtは、ランサムウェアを削除する最も簡単で効果的な方法は、Androidデバイスを元の工場出荷時のソフトウェアに復元することだと述べています。したがって、Dogspectus Androidランサムウェアに感染した場合は、デバイスをPCに接続し、工場出荷時のリセットを選択する前に個人データをコンピュータにコピーすることをお勧めします。

また、デバイスを最新のAndroidバージョンにアップグレードすることが常に推奨されます。新しいバージョンのOSには脆弱性パッチやその他のセキュリティ改善が含まれています。さらに、サポートが終了し、更新が受けられなくなったデバイスでは、Webブラウジング活動を制限するべきです。同様に、古いデバイスでは、デフォルトのAndroidブラウザの代わりにChromeのようなブラウザをインストールするべきです。